转载自

在webapp标签下,可以有很多种安全性配置,下面介绍ip限制、用户米密码限制两种。
ip限制
在正常访问的web-app标签下,增加一个security-constrain标签即可,如下:

 
    
 <host id="test.com" root-directory=".">
      <web-app id="/solr" document-directory="/home/server/solr" archive-path="/home/resin/webapps/solr.war" character-encoding="utf-8">
        <security-constraint>
          <web-resource-collection>
                <url-pattern>/*</url-pattern>
          </web-resource-collection>
          <ip-constraint>
                <allow>192.168.0.0/16</allow>
                <allow>10.0.0.0/8</allow>
                <allow>61.135.255.86</allow>
          </ip-constraint>
        </security-constraint>
      </web-app>
    </host>
 
    
url-pattern是过滤的url
allow标签表示允许访问的ip地址,默认是允许所有的。
还可以配置<deny>标签,以拒绝特定的ip。
这里的ip地址格式可以查看wiki : http://zh.wikipedia.org/wiki/IPv4 ,比如:
10.0.0.0/8 (私有网络)
192.168.0.0/16 
xxx.0/16表示这个网段的掩码,前面是16个1,即11111111.11111111.00000000.00000000
即所有192.168开头的私网地址.
 
    
其中:24表示子网掩码:255.255.255.0
 
    
  16表示子网掩码:255.255.0.0
 
    
  8表示子网掩码:255.0.0.0
 
    
除了为内网开放ip权限,还可以为外网开放,比如为某个ip开放,<allow>61.135.25.3<allow>

只有allow表示,只允许这些ip访问。
只有deny表示,只拒绝这些ip访问。